OWASP

INTEGRANTES: JOS MANUEL RIVAS VSQUEZ GUSTAVO VLADIMIR GONZLEZ VILA JULIO ALBERTO MARTNEZ CABRERA

SEGURIDAD INFORMTICA

ING. CARLOS ORELLANA

Contenido
INTRODUCCIN............................................................................................................................................. 4 OBJETIVOS ..................................................................................................................................................... 5 Objetivo General: ...................................................................................................................................... 5 Objetivos Especficos: ............................................................................................................................... 5 ALCANCES...................................................................................................................................................... 6 METAS: .......................................................................................................................................................... 6 JUSTIFICACIN: ............................................................................................................................................. 7 MARCO TERICO: ......................................................................................................................................... 8 HISTORIA: .................................................................................................................................................. 8 QU ES OWASP?...................................................................................................................................... 8 ESTRUCTURA Y LICENCIAMIENTO ............................................................................................................. 8 PARTICIPACIN Y MEMBRESA ................................................................................................................. 9 SITIO OFICIAL DE OWASP. ......................................................................................................................... 9 PROYECTOS ................................................................................................ Error! Bookmark not defined. PROYECTOS DE DOCUMENTACIN:.................................................................................................... 10 LOS PROYECTOS DE DESARROLLO: ..................................................................................................... 22 OWASP DEVELOPMENT GUIDE (Gua de proyectos OWASP) ................................................................. 10 MARCOS DE POLTICA DE OWASP ...................................................................................................... 11 OWASP TOP TEN ..................................................................................................................................... 13 OWASP TESTING GUIDE .......................................................................................................................... 19 OWASP CODE REVIEW ............................................................................................................................ 21 WebGoat ................................................................................................................................................. 22 WebGoat 6.0 ........................................................................................................................................... 23 WebScarab .............................................................................................................................................. 24 Versiones................................................................................................................................................. 24 . NET ........................................................................................................................................................ 25 APLICACIONES: ........................................................................................... Error! Bookmark not defined. VENTAJAS: ............................................................................................................................................... 27 DESVENTAJAS: ......................................................................................................................................... 27 CONCLUSIN:.............................................................................................................................................. 28 RECOMENDACIONES: .................................................................................................................................. 29

GLOSARIO:................................................................................................................................................... 30 Bibliografa .................................................................................................................................................. 31 ANEXOS ....................................................................................................................................................... 32

INTRODUCCIN
OWASP cuyas siglas en ingls Open Web Application Security Project (Proyecto Abierto de Seguridad de Aplicaciones Web traducido al espaol) es una organizacin sin fines de lucro, que est en constante actualizacin, y cuenta con miembros alrededor de todo el mundo que ponen a disposicin el material necesario para que cualquier persona u organizacin tenga acceso a informacin completamente gratuita para poder aumentar la seguridad en sus aplicaciones o sistemas. OWASP es una gua para cualquier persona u organizacin que desee aumentar la seguridad o disminuir los riesgos en el entorno web. A lo largo del presente reporte se presentan los aspectos ms importantes de esta comunidad, as como los proyectos documentales ms importantes de la misma, entre los cuales podemos mencionar: OWASP TOP TEN OWASP DEVELOPMENT GUIDE OWASP TESTING GUIDE OWASP CODE REVIEW OWASP STANDARS

Se menciona una breve explicacin de estas guas y se contestan las siguientes interrogantes Qu son? Para qu sirven? Qu debo hacer en casos de tener vulnerabilidades? Se recomienda a las organizaciones empezar por solucionar los problemas mencionados en la gua del OWASP TOP TEN, debido a que la seguridad no es un aspecto que se soluciona del da a la maana, sino que es un proceso que puede llevar mesas incluso aos, pero es decisin de la empresa adoptar la gua que ms le parezca, OWASP no se compromete a que los resultados sern totalmente satisfactorios debido a que es una organizacin sin nimos de lucro, no tiene presin de nadie. Pero hay muchas empresas de alto calibre que respaldan OWASP. Adems se exponen los proyectos de desarrollo de OWASP, explicando los ms importantes o ms conocidos, a lo largo de las guas se brindan ejemplos de cmo detectar vulnerabilidades a travs de herramientas que pueden ser encontradas en el sitio oficial de OWASP o incluso se brinda la solucin que debe emplearse para dicha vulnerabilidad. Cabe destacar que este informe es simplemente un enfoque general de OWASP, si desea obtener ms informacin debe visitar el sitio oficial de OWASP www.owasp.org, y descargar el material de forma gratuita.

OBJETIVOS
Objetivo General:
Conocer los aspectos ms importantes de OWASP.

Objetivos Especficos:
Identificar qu es OWASP. Establecer la importancia de OWASP en las Tecnologas de Informacin. Mencionar las aplicaciones de OWASP.

ALCANCES
Tener una idea clara acerca de que es OWASP. Aumentar los conocimientos acerca de la seguridad de la informacin. Identificar los peligros que asechan a las aplicaciones informticas.

METAS:
Conocer la metodologa de OWASP al menos de manera general en un 75%. Explotar vulnerabilidades mediante una o varias herramientas, que tengan relacin con OWASP.

JUSTIFICACIN:
En un mundo donde la tecnologa de la informacin se vuelve una parte de todas las organizaciones, debido a las innumerables ventajas que sta brinda, es por esta misma razn en la que a medida que la esta tecnologa ha venido tomando una gran importancia en las empresas u organizaciones, que tambin existen muchas personas que tienen intencin de explotar las vulnerabilidades que puedan tener los sistemas informticos, siendo segn informacin una de las ramas ms vulnerables a ataques la tecnologa web. Es por tal razn por la que se decide investigar una metodologa, en este caso OWASP, debido a que se considera esta comunidad como una solucin para las empresas, que ya se dieron cuenta de los agujeros que podran tener en aspectos de seguridad y por lo tanto quieren tomar cartas en el asunto y evitar que personas puedan daar o comprometer los datos de la empresa, as como tambin organizaciones que ya sufrieron algn incidente y por lo tanto no desean por ningn motivo que se repita. Es por todo lo mencionado anteriormente que se estudiar OWASP de una manera generalizada y se expondrn los aspectos ms importantes de dicha comunidad.

MARCO TERICO:
HISTORIA:
La Fundacin OWASP entr en funcionamiento el 1 de diciembre de 2001, se estableci como una organizacin caritativa sin fines de lucro en los Estados Unidos el 21 de abril de 2004, para garantizar la disponibilidad continua y el apoyo a nuestro trabajo en OWASP. OWASP es una organizacin internacional y la Fundacin OWASP, OWASP apoya los esfuerzos de todo el mundo.

QU ES OWASP?
El Open Web Application Security Project (OWASP) que en espaol significa Proyecto Libre de Seguridad de Aplicaciones Web, es un espacio abierto o comunidad dedicada a la bsqueda y la lucha contra las causas del software inseguro. Es adems una comunidad dedicada a permitir a las organizaciones desarrollar, comprar y mantener las aplicaciones que puedan ser confiables. Todas las herramientas, documentos, foros, y los captulos de OWASP son gratuitos y abiertos a cualquier persona interesada en mejorar la seguridad de aplicaciones. En OWASP se pueden encontrar los siguientes elementos de manera gratuita y libre. Las herramientas y estndares de seguridad de aplicaciones Libros completos de las pruebas de seguridad de aplicaciones, desarrollo de cdigo de seguridad, y la seguridad de revisin de cdigo Los controles de seguridad estndares y bibliotecas Los captulos locales en todo el mundo La investigacin de vanguardia Conferencias que se extienden en todo el mundo Listas de correo Muchos otros aspectos para aumentar la seguridad en las organizaciones.

OWASP debido a que no tiene presiones comerciales le permite brindar informacin imparcial, prctica y rentable sobre seguridad de aplicaciones. OWASP no est afiliado con ninguna compaa de tecnologa, sin embargo apoya la utilizacin de tecnologa de seguridad.

ESTRUCTURA Y LICENCIAMIENTO
La Fundacin OWASP es una entidad sin fines de lucro que proporciona la infraestructura para la comunidad de OWASP. La Fundacin proporciona servidores y ancho de banda, facilita los proyectos y captulos, y gestiona las Conferencias OWASP de Seguridad de Aplicaciones en todo el mundo. Todos los materiales OWASP estn disponibles bajo un aprobado mtodo de licencia de cdigo abierto. Si opta por convertirse en una organizacin miembro de OWASP, tambin puede utilizar la licencia comercial que le permite usar, modificar y distribuir todos los materiales OWASP dentro de su organizacin bajo una nica licencia.

PARTICIPACIN Y MEMBRESA
Todo el mundo es bienvenido a participar en OWASP: foros, proyectos, captulos, y conferencias. OWASP es un lugar fantstico para aprender sobre seguridad de aplicaciones, de red, e incluso construir su reputacin como un experto. Muchos expertos en seguridad de aplicaciones y las empresas participan en OWASP porque la comunidad establece su credibilidad.

SITIO OFICIAL DE OWASP.

En el sitio oficial de OWASP en el cual se puede visitar en el siguiente link: www.owasp.org , se puede ver una pgina web con mucha informacin organizada en grandes partes pero al mismo tiempo desorganizada ya que a la pgina le hace falta una organizacin correcto, esto se puede deber a que no hay nadie concreto administrando la pgina, dejando de lado el lado esttico se puede notar que para los informticos esto es de gran ayuda ya que en la pgina se dan a conocer todos los proyectos que la organizacin tiene. Entre las actividades que se pueden hacer en la pgina tenemos: Saber sobre la organizacin Hacer descargas de las herramientas. Hacerse miembro de organizacin Donar a la organizacin. Seccin de videos. Ver ataques y vulnerabilidades Calendario de actividades alrededor del mundo. Crear cuenta. Inscribirse para recibir noticias.

Como muestra de la poca actualizacin se muestra en la siguiente imagen la ltima actualizacin hecha a la pgina de OWASP:

PROYECTOS DE DESARROLLO
Un proyecto OWASP es un conjunto de tareas relacionadas que tienen una hoja de ruta definida y los miembros del equipo. Los lderes del proyecto OWASP son responsables de definir la visin, plan de trabajo y las tareas del proyecto. El lder del proyecto tambin promueve el proyecto y construye el

equipo. OWASP cuenta actualmente con ms de 148 proyectos activos, y las nuevas solicitudes de proyectos se presentan cada semana. Todas las herramientas de OWASP, documentos y proyectos de la biblioteca de cdigo se organizan en las siguientes categoras: Incubadora de Proyectos: Proyectos Incubadora OWASP representan el parque experimental, donde los proyectos estn siendo plasmadas las ideas an estn siendo probados, y el desarrollo est todava en curso. Proyectos de Laboratorio: Proyectos Labs OWASP representan proyectos que han dado una opinin OWASP entrega de valor. Proyectos emblemticos: La designacin Flagship OWASP se da a los proyectos que han demostrado su madurez superior, de calidad establecida, y el valor estratgico de la OWASP y la seguridad de la aplicacin en su conjunto. A continuacin detallaremos ejemplos de proyectos de OWASP: Los proyectos de OWASP estn ampliamente divididos en dos categoras principales: los proyectos de desarrollo, y los proyectos de documentacin. PROYECTOS DE DOCUMENTACIN: La Gua - Este documento que proporciona orientacin detallada sobre la seguridad de aplicaciones web. El Top Ten de las vulnerabilidades ms crticas de Aplicaciones Web - Un documento de alto nivel para ayudar a centrarse en las cuestiones ms crticas, cuyas versiones van desde la 2005, 2007, 2010 y 2013. Mtricas - Un proyecto viable para definir las mtricas de seguridad de aplicaciones web. Legal - Un proyecto de software para ayudar a compradores y vendedores negociar una seguridad adecuada en sus contratos. Gua de Testeo - Una gua eficaz centrada en pruebas de la seguridad de aplicaciones web. ISO17799 - Los documentos de soporte para las organizaciones haciendo revisiones ISO17799 AppSec FAQ - Preguntas frecuentes y respuestas sobre seguridad de aplicaciones Otros documentos como la documentacin de WebGoat y WebScarab.

OWASP DEVELOPMENT GUIDE (Gua de proyectos OWASP)

Las aplicaciones web se pueden escribir de muchas maneras diferentes, y en muchos idiomas diferentes. Aunque la Gua se concentra en las tres opciones comunes para sus ejemplos (PHP, ASP.NET y J2EE), la Gua puede utilizarse con cualquier aplicacin web de tecnologa. Esta gua se enfoca principalmente en contramedidas y debilidades para asegurar la ingeniera de software.

En esta edicin, los arquitectos, jefes de proyecto y desarrolladores pueden hacer referencia a un libro de texto masivo que cubre todos los aspectos de la moderna arquitectura de aplicaciones de seguridad, diseo seguro, y los patrones de diseo detallado. Esta edicin se alinea con los resultados del programa de estudios de la titulacin de Software Assurance Pregrado y Maestra en Software Assurance. Los temas principales: Seguridad de Fundacin Arquitectura Diseo Construir Funcionar Respuesta a Incidentes

MARCOS DE POLTICA DE OWASP Muchos de los controles contenidos en la Gua OWASP se encuentran influenciados por requerimientos incluidos en estndares nacionales o marcos de control tales como COBIT; normalmente los controles seleccionados de la gua satisfarn los requerimientos relevantes de ISO 17799 o COBIT. COBIT Si usted est implementando COBIT, OWASP es un excelente punto de partida para identificar riesgos en el desarrollo de sistemas y para asegurar que aplicaciones hechas a medida o adquiridas cumplimenten con COBIT. ISO 17779 Las organizaciones que utilizan ISO 17799 pueden usar OWASP como una gua detallada al seleccionar e implementar una amplia gama de controles de la ISO 17799, particularmente aquellos detallados en el captulo de Desarrollo de Sistemas, entre otros de esta gua. Esta gua de desarrollo se centra que una aplicacin no se puede tener una seguridad si los usuarios no poseen una educacin con respecto a seguridad y un buen habito ya que no pueden ver un riesgo hasta que ya no pueden remediar el problema de seguridad que se les presenta ya sea este un phishing, tambin esta nos enmarca que como PSI debemos definir polticas las cuales deben ser comunicadas a los usuarios para poder relacionarnos con la seguridad ya que ni el administrador puede pedir informacin confidencial de un usuario y tambin el usuario debe estar seguro en que sitios y tener en cuenta todos las polticas del servicio web al que acceda tanto el usuario como el administrador tienen derechos a mantener la privacidad de la informacin que ambos comparten as como la seguridad que deben de mantener y como protegerse de algn ataque. As los PSI para tener una buena seguridad nuestro servidor debe ser capaz de identificar autentificar y dar Acceso utilizando unas serie de llaves tanto del emisor como una del receptor para poder identificar si estos informacin procede de una fuente confiable tambin menciona que podemos utilizar firmas

para poder identificar si esta informacin es fiable o no, esta gua debe establecer como tanto el usuario como el proveedor de servicios puede tener una mejor seguridad los estndares necesarios, metodologa y encriptacin para lograr una mejor seguridad. La gua te muestra herramientas las cuales puedes implementar y utilizar para el desarrollo de aplicaciones web.

OWASP TOP TEN

El OWASP Top 10 se basa en los datos de riesgo de 8 empresas que se especializan en seguridad de aplicaciones, incluyendo 4 empresas de consultora y 4 proveedores de herramientas. Estos datos abarcan ms de 500.000 vulnerabilidades a travs de cientos de organizaciones y miles de aplicaciones. Los 10 mejores artculos son seleccionados y priorizados de acuerdo a estos datos de prevalencia, en combinacin con las estimaciones del consenso de explotabilidad, detectabilidad y estimaciones de impacto. El objetivo principal de la OWASP Top 10 es educar a los desarrolladores, diseadores, arquitectos, gerentes y organizaciones sobre las consecuencias de los ms importantes puntos dbiles de seguridad de aplicaciones web. El Top 10 proporciona las tcnicas bsicas para proteger contra estas reas problemticas de alto riesgo y tambin proporciona orientacin sobre dnde ir desde aqu. Pero al combatir los 10 peligros del TOP TEN no quiere decir que ya est protegido, en el documento hace un alto nfasis en que no debe detenerse en estos peligros, ya que hay muchos ms, adems el documento est en constante actualizacin, y puede que uno u otro peligro avance en el ranking o desaparezca del mismo. A continuacin se presenta una comparacin entre las ediciones del 2010 y 2013 del OWASP TOP TEN: OWASP 2010 TOP TEN A1- Inyeccin A2- Scripting de Sitios-Cruzados (XSS) A3- Autenticacin rota y Manejos de Sesiones A4- Referencias de Objetos Directos Inseguras A5- Solicitudes de Falsificacin a Sitios-Cruzados A6- Mala configuracin de seguridad A7- Almacenamiento Criptogrfico Inseguro (Mezclado con el A9) A8- Falla a Acceso Restringido de las URL A9- Insuficiente Proteccin de la Capa de Transporte A10- Redirecciones y Forwards Invalidados OWASP 2013 TOP TEN A1- Inyeccin A2- Autenticacin rota y Manejos de Sesiones A3- Scripting de Sitios-Cruzados (XSS) A4- Referencias de Objetos Directos Inseguras A5- Mala configuracin de seguridad A6- Exposicin de Datos Sensibles A7- Funciones Faltantes del Control de Nivel de Acceso A8- Solicitudes de Falsificacin a Sitios-Cruzados A9Usando Componentes Vulnerables Conocidos A10- Redirecciones y Forwards Invalidados

Lo ms importante a resaltar en la comparacin anterior sera que se sigue considerando la Inyeccin SQL como el problema principal de los sitios, y unos ligeros cambios en algunos problemas, como la Autenticacin y Manejo de Sesiones A continuacin explicaremos de manera rpida cada uno de los problemas de la edicin de OWASP del 2013: En la gua se establece desde la definicin, el tipo de atacante, los impactos, as como tambin como saber si se es vulnerable y las soluciones a los mismos. Si desea obtener todos los detalles se recomienda leer y descargar de manera gratuita el OWASP TOP TEN 2013 desde la pgina oficial de OWASP.

A1 - Inyeccin Las fallas de inyeccin, tales como SQL, OS, y la inyeccin LDAP se producen cuando los datos no son de confianza se enva a una intrprete como parte de un comando o consulta. Datos hostiles del atacante puede engaar al intrprete para que ejecute comandos no deseados o acceder a datos no autorizados. En la gua se explica la raz del problema, el tipo de atacante y una serie de pautas de cada vulnerabilidad,
ATACANTE Usuarios externos, los usuarios internos y administradores. CMO EXPLOTAN ESTA VULNERABILIDAD? El atacante enva simples ataques basados en texto que explotan la sintaxis del intrprete apuntado. Casi cualquier fuente de datos puede ser un vector de inyeccin, incluyendo fuentes internas. IMPACTOS TCNICOS La inyeccin puede causar la prdida de datos o la corrupcin, la falta de rendicin de cuentas, o la denegacin de acceso. IMPACTO EN EL NEGOCIO Todos los datos pueden ser robados, modificados o eliminados. Podra ser daada su reputacin? CMO SABER SI SE ES VULNERABLE? Comprobacin del cdigo. Herramientas de anlisis de cdigo como BRUTUS. CMO EVITAR LA INYECCIN SQL? Mantener los datos no confiables separados de comandos y consultas. 1. La opcin preferida es usar una API de seguridad. 2. Validacin de cdigo.

A2 - Autenticacin y administracin de Sesin Funciones de aplicacin relacionados con la autenticacin y gestin de sesiones a menudo no son correctas en la aplicacin, lo que permite a los atacantes comprometer contraseas, llaves, los tokens de sesin, o la explotacin de otros defectos de implementacin para asumir la identidad de otros usuarios.
ATACANTE Considere atacantes externos annimos, as como los usuarios con sus propias cuentas. CMO EXPLOTAN ESTA VULNERABILIDAD? El atacante utiliza fugas o fallas en las funciones de gestin de autenticacin o sesin (por ejemplo, cuentas a la vista, contraseas, ID de sesin) para hacerse pasar por usuarios. IMPACTOS TCNICOS El atacante puede hacer todo lo que la vctima poda hacer. Las cuentas con privilegios son con frecuencia blanco de ataques. IMPACTO EN EL NEGOCIO Todos los datos pueden ser robados, modificados o eliminados. Podra ser daada su reputacin? CMO SABER SI SE ES VULNERABLE? 1.Credenciales protegidas. 2.Pueden las credenciales ser adivinadas? 3. Son los identificadores de sesin expuestas en la direccin URL, etc.4. CMO EVITAR ESTE PROBLEMA? 1. Un nico conjunto de autenticacin fuerte y controles de administracin de sesiones. 2. Tambin se deben hacer grandes esfuerzos para evitar fallas de XSS que pueden ser utilizados para robar los identificadores de sesin.

A3 - Cross-Site Scripting (XSS) Las fallas de XSS ocurren cuando una aplicacin toma datos no confiables y los enva a un navegador web sin necesidad de una correcta validacin. XSS permite a los atacantes ejecutar scripts en el navegador de la vctima, que pueden secuestrar sesiones de usuario, modificar sitios Web, o redirigir al usuario a sitios maliciosos.
ATACANTE Usuarios externos, los usuarios internos y administradores. CMO EXPLOTAN ESTA VULNERABILIDAD? El atacante enva secuencias de comandos de ataque textbased que explotan el intrprete en el navegador. Casi cualquier fuente de datos puede ser un vector de ataque, incluyendo fuentes internas tales como los datos de la base de datos. IMPACTOS TCNICOS Los atacantes pueden ejecutar scripts en el navegador de la vctima para secuestrar sesiones de usuario, modificar sitios Web, insertar contenido hostil, redirigir a los usuarios, secuestrar el navegador del usuario con malware, etc. IMPACTO EN EL NEGOCIO Depende de la importancia de los datos. Todos los datos pueden ser robados, modificados o eliminados. Podra ser daada su reputacin? CMO SABER SI SE ES VULNERABLE? Se debe revisar que todos los datos que se envan a travs del navegador son seguros, como la que se incluye en la pgina de salida, o se comprueba que es seguro a travs de la validacin de entrada. CMO EVITAR ESTE PROBLEMA? Prevenir XSS requiere mantener los datos no confiables separados de contenido activo navegador. Considere bibliotecas autodesinfeccin como AntiSamy de OWASP.

A4- Referencias Inseguras a Objetos Directos Una referencia de objeto directo ocurre cuando un desarrollador expone una referencia a un interno objeto de implementacin, como un archivo, un directorio o base de datos de claves. Sin una comprobacin de control de acceso o de otro tipo de proteccin, los atacantes pueden manipular esas referencias para acceder a datos no autorizados.
ATACANTE Tenga en cuenta los tipos de usuarios de su sistema. CMO EXPLOTAN ESTA VULNERABILIDAD? El atacante, que es un usuario autorizado del sistema, simplemente cambia el valor del parmetro que se refiere directamente a un objeto del sistema a otro objeto que el usuario no est autorizado para. IMPACTOS TCNICOS Tales defectos pueden comprometer todos los datos que pueden ser referenciados por el parmetro. IMPACTO EN EL NEGOCIO Considere el valor comercial de los datos expuestos. Tambin considere el impacto en el negocio de la exposicin pblica de la vulnerabilidad. CMO SABER SI SE ES VULNERABLE? La mejor manera de saber si una aplicacin es vulnerable a las referencias a objetos directos inseguros es verificar que todas las referencias a objetos tienen defensas adecuadas. CMO EVITAR ESTE PROBLEMA? Se requiere la seleccin de un enfoque de proteccin de cada objeto accesible para el usuario (por ejemplo, nmero de objeto, nombre): 1. Utilice por referencias a objetos indirectos usuario o sesin. 2. Comprobar el acceso.

A5- Mala configuracin de seguridad Una buena seguridad requiere tener una configuracin segura definido y desplegado para la aplicacin, frameworks, servidor de aplicaciones, servidor web, servidor de base de datos y plataforma. Todos estos ajustes se deben definir, implementar y mantener ya que muchos no se envan con valores predeterminados seguros.
ATACANTE Atacantes externos annimos y usuarios, adems insiders que desean ocultar sus acciones. CMO EXPLOTAN ESTA VULNERABILIDAD? El atacante accede a las cuentas por defecto, las pginas no utilizadas, defectos sin parches, archivos desprotegidos y directorios, etc., para obtener acceso no autorizado o el conocimiento del sistema. IMPACTOS TCNICOS Tales defectos suelen dar los atacantes el acceso no autorizado a algunos datos del sistema o la funcionalidad. IMPACTO EN EL NEGOCIO Los costos de recuperacin podran ser muy altos. CMO SABER SI SE ES VULNERABLE? Averiguar si se actualizan los sistemas, se aplican parches, etc. Se han desactivado los recursos innecesarios, puertos, as como las cuentas por default. CMO EVITAR ESTE PROBLEMA? Automatizar los procesos de las nuevas actualizaciones de software y parches. Una arquitectura de la aplicacin fuerte que proporcione una buena separacin y la seguridad entre los componentes, y auditoras.

A6- Exposicin de Datos Sensibles Muchas aplicaciones web no protegen adecuadamente los datos sensibles, tales como tarjetas de crdito, identificadores de impuestos, y las credenciales de autenticacin. Los atacantes pueden robar o modificar tales datos dbilmente protegidos para llevar a cabo el robo de identidad, fraude de tarjetas de crdito, u otros delitos. Los datos sensibles deben tener proteccin adicional, como el cifrado en reposo o durante el transporte, as como las precauciones especiales cuando se intercambia con el navegador.
ATACANTE CMO EXPLOTAN ESTA VULNERABILIDAD? Los atacantes roban claves, datos del servidor, roban durante el transporte o desde el navegador. IMPACTOS TCNICOS Las fallas usualmente comprometen los datos : credenciales, registros, datos personales, etc. IMPACTO NEGOCIO EN EL CMO SABER SI SE ES VULNERABLE? Lo primero que hay que determinar es qu datos son lo suficientemente sensibles como para requerir proteccin adicional. Encriptar la informacin, directivas del navegador, etc. CMO EVITAR PROBLEMA? ESTE

Cualquier persona con acceso al sistema, incluso clientes.

Considere el valor de negocio de los datos y el impacto de su reputacin perdida. Cul es su responsabilidad legal si se exponen estos datos? Tambin considere el dao a su reputacin.

Encriptar la informacin. No guarde informacin innecesaria, como tarjetas de crdito. Utilizar fuertes algoritmos estandarizados, etc.

A7- Funciones Faltantes del Control de Nivel de Acceso Prcticamente todas las aplicaciones web verifican los derechos de acceso a nivel de funcin antes de tomar esa funcionalidad visible en la interfaz de usuario. Sin embargo, las aplicaciones tienen que realizar las mismas comprobaciones de control de acceso en el servidor cuando se accede a cada funcin. Si no se verifican peticiones, los atacantes sern capaces de forjar peticiones con el fin de acceder a la funcionalidad no autorizada.
ATACANTE CMO EXPLOTAN ESTA VULNERABILIDAD? El atacante, que es un usuario autorizado del sistema, simplemente cambia la direccin URL o un parmetro a una funcin privilegiada. IMPACTOS TCNICOS Estos defectos permiten que los atacantes accedan a la funcionalidad no autorizada. IMPACTO NEGOCIO EN EL CMO SABER SI SE ES VULNERABLE? Verificar todas las funciones de la aplicacin: 1. Muestra el interfaz de usuario de navegacin de funciones no autorizadas? 2. Es debida autenticacin y autorizacin comprueba? CMO EVITAR PROBLEMA? ESTE

Cualquier persona con acceso a la red puede enviar su solicitud a peticin.

Importancia de los datos robados. Dao a la reputacin de la empresa.

1. Piense en el proceso de gestin de derechos y asegrese de que puede actualizar y auditar fcilmente. 2. El mecanismo de aplicacin (s) debe negar el acceso de forma predeterminada.

A8- Solicitudes de Falsificacin a Sitios-Cruzados Un ataque CSRF fuerza una sesin iniciada en el navegador de la vctima para enviar una peticin HTTP forjado, incluyendo cookie de sesin de la vctima y cualquier otra informacin de autenticacin incluyen automticamente, a una aplicacin web vulnerable. Esto permite al atacante para forzar el navegador de la vctima para generar solicitudes de la aplicacin vulnerable piensa son peticiones legtimas de la vctima.
ATACANTE CMO EXPLOTAN ESTA VULNERABILIDAD? Los atacantes crean solicitudes y trucos a la vctima envindole va etiquetas de imagen, XSS u otras tcnicas. Si el usuario est autenticado, el ataque tiene xito. IMPACTOS TCNICOS El atacante puede cambiar los datos, o realizar cualquier otra funcin que la vctima est autorizada a ejercer. IMPACTO NEGOCIO EN EL CMO SABER SI SE ES VULNERABLE? Una defensa alternativa es requerir que el usuario demuestre su intencin de presentar la solicitud, ya sea a travs de nueva autenticacin, o alguna otra prueba de que son un usuario real (por ejemplo, un captcha). CMO EVITAR PROBLEMA? 1. 2. ESTE

Cualquier persona con acceso a la aplicacin a travs de un navegador.

Segn la importancia de los datos. Dao a su reputacin.

3.

Incluir el token nico de manera oculta. El token puede ser incluido tambin en la URL o un parmetro. Forzar al usuario a reautenticarze ej: Captcha.

A9- Usando Componentes Vulnerables Conocidos Los componentes vulnerables, como las bibliotecas, los marcos, y otros mdulos de software casi siempre se ejecutan con privilegios completa. Por lo tanto, si se explota, pueden causar prdida de datos importantes o absorcin servidor. Las aplicaciones que utilizan estos componentes vulnerables pueden socavar sus defensas y permitir una serie de posibles ataques e impactos.
ATACANTE CMO EXPLOTAN ESTA VULNERABILIDAD? El atacante identifica un componente dbil por barrido o un anlisis manual. Ellos personalizan el exploit segn sea necesario y ejecutan el ataque. IMPACTOS TCNICOS La gama completa de los puntos dbiles es posible, incluyendo la inyeccin, el control de acceso rota, XSS, etc IMPACTO NEGOCIO EN EL CMO SABER SI SE ES VULNERABLE? Mediante la comprobacin para ver si el cdigo utiliza la parte del componente de la vulnerabilidad y si la falla podra resultar en un impacto que le interesan. CMO EVITAR PROBLEMA? ESTE

Cualquier persona con una herramienta automatizada, o conocimiento experto.

Se debe ver que datos comprometen al negocio. Tiene repercusiones en la empresa, etc.

Uno opcin de es a no utilizar componentes que usted no hizo o escribi. Pero, siendo realistas, la mejor manera de lidiar con este riesgo es mantener los componentes actualizados.

A10- Redirecciones y Forwards Invalidados Las aplicaciones Web frecuentemente redirigen y reenviar los usuarios a otras pginas y sitios web, y el uso de datos no confiables para determinar las pginas de destino. Sin una correcta validacin, los atacantes pueden redirigir a las vctimas a sitios de malware o phishing, o utilizar delante para acceder a pginas no autorizadas.
ATACANTE CMO EXPLOTAN ESTA VULNERABILIDAD? Los atacantes engaan a las vctimas con links que los envan a lugares pensados por el atacante. IMPACTOS TCNICOS IMPACTO NEGOCIO EN EL CMO SABER SI SE ES VULNERABLE? Revise el cdigo para todos los usos de redirigir o reenviar (llamado transferencia de. NET). Comprobar todos los parmetros. CMO EVITAR PROBLEMA? ESTE

Personas con acceso al sitio web.

Estas redirecciones pueden intentar instalar malware o engaar a las vctimas para que revelen contraseas u otra informacin sensible.

Perdida de la confianza de los clientes.

Simplemente evitar el uso de redirecciones y forwards. Si los utiliza, no implique el clculo de los parmetros del usuario en el destino y asegrese que el valor es vlido y autorizado para el usuario.

OWASP TESTING GUIDE

Es una gua cuyo propsito poner a prueba las aplicaciones de las organizaciones, mediante uso de cierto tipo de herramientas automatizadas, as como otro tipo de conocimientos que han sido aportados por los miembros y colaboradores de OWASP. Esta gua es mejor vista como un conjunto de tcnicas que se pueden utilizar para encontrar los diferentes tipos de agujeros de seguridad. Pero no todas las tcnicas son igualmente importantes. El resultado de este proyecto es un marco de pruebas completa, de la que otros puedan construir sus propios programas de pruebas o calificar los procesos de otras personas. Gua de pruebas se describen en detalle tanto el Marco de pruebas generales y las tcnicas necesarias para aplicar el marco en la prctica. Por qu habra de utilizarse la Gua de Pruebas? Los desarrolladores deben usar esta gua para asegurarse de que estn produciendo cdigo seguro. Probadores de software deberan utilizar esta gua para expandir el conjunto de casos de prueba que se aplican a las aplicaciones. La captura de estas vulnerabilidades temprana ahorra mucho tiempo y esfuerzo ms tarde. Especialistas en seguridad deberan utilizar esta gua en combinacin con otras tcnicas como una manera de verificar que no haya agujeros de seguridad en una aplicacin.

A continuacin se presenta una serie de principios tomados de la gia de pruebas de OWASP: No existe ninguna bala de plata, que destruya los atacantes. Piense estratgicamente, no tcticamente. El SDLC es el rey. (Integrar la seguridad en el ciclo de desarrollo de software). Pruebe temprano y pruebe a menudo. Comprenda el alcance de la seguridad. Use las herramientas adecuadas. Documente los resultados de las pruebas, etc. MARCO DE PRUEBAS OWASP En esta seccin se describe un marco de pruebas tpico que se puede desarrollar dentro de una organizacin. Puede verse como un marco de referencia que comprende las tcnicas y las tareas que son apropiados en diferentes fases del ciclo de vida de desarrollo de software (SDLC). Este marco de pruebas consta de las siguientes actividades que deben llevarse a cabo: Antes de que comience el Desarrollo Durante el diseo y definicin Durante el Desarrollo Durante la implementacin

- OWASP
Mantenimiento y Operaciones

20

- OWASP
OWASP CODE REVIEW
Muchas organizaciones se han dado cuenta de que su cdigo no es tan seguro como haban pensado. Ahora estn comenzando la difcil labor de verificacin de la seguridad de sus aplicaciones. Existen cuatro tcnicas bsicas para el anlisis de la seguridad de una aplicacin de digitalizacin automatizada de software, pruebas de penetracin manual, anlisis esttico y revisin de cdigo manual. Esta gua de OWASP se centra en la ltima de estas tcnicas. Por supuesto, todas estas tcnicas tienen sus fortalezas, debilidades, puntos dulces, y los puntos ciegos. Los argumentos acerca de qu tcnica es la mejor es como discutir si un martillo o sierra es ms valiosa cuando se construye una casa, y ambos son imprescindibles. Todava ms importante que la herramienta es probablemente la persona que sostiene el martillo de todos modos. Las guas de OWASP estn destinadas a ensear cmo utilizar estas tcnicas. Pero el hecho de que estn separadas no debe ser un indicador de que deben usarse solas. La Gua de desarrollo de su proyecto muestra cmo construir una aplicacin segura, esta Gua de revisin de cdigo se indica cmo verificar la seguridad del cdigo fuente de la aplicacin, y la gua de pruebas se muestra cmo verificar la seguridad de su aplicacin en ejecucin. La revisin de cdigo es probablemente la tcnica individual ms eficaz para identificar las fallas de seguridad. Cuando usted utiliza herramientas automatizadas y pruebas de penetracin manual, la revisin de cdigo puede aumentar significativamente la rentabilidad de un esfuerzo de verificacin de seguridad de la aplicacin. Este documento no establece un proceso para llevar a cabo una revisin del cdigo de seguridad. Ms bien, esta gua se centra en los mecanismos de revisin de cdigo para ciertas vulnerabilidades, y ofrece orientacin limitada sobre cmo debe ser el esfuerzo estructurado y ejecutado. Este Manual de Cdigo de Seguridad ofrece informacin sobre el "riesgo real" asociado con cdigo inseguro. Este es el nico valor ms importante de un enfoque manual. Un usuario humano puede comprender el contexto de ciertas prcticas de codificacin, y hacer una estimacin del riesgo grave que representa la probabilidad de ambos, del ataque y el impacto en el negocio de una violacin. Cdigo de seguridad crtica es el proceso de auditora de cdigo fuente de una aplicacin para verificar que los controles de seguridad no estn presentes, que funcionan segn lo previsto, y que se han invocado en todos los lugares correctos. La revisin de cdigo es una forma de asegurar que la aplicacin ha sido desarrollada de una manera que es segura. Una regla general es que una prueba de penetracin no debe descubrir las vulnerabilidades de las aplicaciones adicionales relacionados con el cdigo desarrollado despus de la aplicacin ha sido objeto de un examen adecuado cdigo de seguridad. Bsicamente en este manual ensean a realizar una serie de controles al cdigo fuente de los programas, segn cdigo ya probado y seguro, se hace un chequeo del cdigo utilizado, y se brindan las sugerencias que se deben aplicar para eliminar las vulnerabilidades.

21

- OWASP
LOS PROYECTOS DE DESARROLLO: WebScarab - Una aplicacin Web que incluye una suite de evaluacin de vulnerabilidades y herramientas Proxy. WebGoat - una herramienta de capacitacin y evaluacin interactiva que los usuarios pueden utilizar para aprender sobre seguridad de aplicaciones web en un lugar seguro y legal. DotNet - una variedad de herramientas para asegurar entornos .NET

WebGoat
WebGoat es una aplicacin web insegura deliberadamente mantenida por OWASP diseado para ensear lecciones de seguridad de aplicaciones web. En cada leccin, los usuarios deben demostrar su comprensin de un problema de seguridad mediante la explotacin de una vulnerabilidad real en las aplicaciones WebGoat.

El proyecto WebGoat est patrocinado por:

Pero WebGoat no es simplemente una aplicacin insegura a propsito. Este proyecto nos presenta paso a paso un tutorial de las mayores amenazas existentes en la web, y nos lleva de la mano a aplicar las tcnicas y entender las razones por las cules fueron exitosas, para luego ser capaces de prevenirlas en nuestros futuros desarrollos. XSS, SQL Injection, Parameter manipulation, Hidden fields manipulation, Weak Session Cookies y muchas otras son las amenazas que aprenderemos a manejar y comprender para pasar a defender a nuestras aplicaciones de dichas vulnerabilidades de forma eficiente. Pantalla Principal:

22

- OWASP
Versiones de WebGoat: Versin WebGoat 3.7 WebGoat 4.0 WebGoat 5.0 RC1 WebGoat 5.0 WebGoat 5.1 WebGoat 5.2 WebGoat 5.3 WebGoat 5.4 Fecha. 04.08.2005 30.05.2006 17.01.2007 31.01.2007 08.01.2008 08.07.2008 10.11.2010 27.04.2012

WebGoat 6.0
Los administradores de OWASP estn en busca de personas que quieran ayudar a llevar el proyecto de WebGoat a un nivel un poco ms elevado, y est en busca de personas que puedan contribuir en los siguientes mbitos: Diseo de interfaz de usuario Spring MVC JavaEE ESAPI y otros controles de seguridad Ataques de aplicaciones Escritura tcnica

Soluciones: Aung Khant (YGN Ethical Hacker Group) ha creado una serie de pelculas que muestran las posibles soluciones a las lecciones WebGoat. Estas pelculas de entrenamiento se pueden consultar en: http://yehg.net/lab/pr0js/training/webgoat.php

23

- OWASP
WebScarab
Webscarab es un marco de trabajo para analizar aplicacines web que se comunica usando los protocolos HTTP y HTTPS. Est escrito en Java, por lo que es portable a muchas plataformas. WebScarac tiene muchos modos de operacin, implementados por varios plugins. Su uso ms comn es operar WebScarab como un proxy de intercepcin, que permite al operador revisar y modificar las peticiones creadas por el navegador antes de que sean enviados al servidor, y para revisar y modificar respuestas enviadas por el servidor antes de que sean recividas por el navegador. Webscarab es capaz de interceptar comunicacion en HTTP y HTTPS. Principales caractersticas de WebScarab: Escrito en java(Portable) Revelar campos ocultos Permite interpretar y modificar WSDL antes de que llegue al servidor Recoleccin y anlisis de Cookies Permite al usuario modificar peticiones y respuestas HTTP y HTTPS "al vuelo", antes de que alcancen el servidor o el navegador. El proxy de WebScarab es capaz de observar trafico HTTP y HTTPS Sustitucin automatizada de valores en los parmetros de las peticiones para detectar vulnerabilidades como Cross Site Scripting XSS o SQL Injection

Versiones Existen dos versiones: 1. WebScarab 2. WebScarab-NG

24

- OWASP
Esta ltima es una reimplementacin del proyecto haciendo foco en una interfaz de usuario ms amigable. Ambos proyectos estn estancados y casi no hay actividad reciente en ellos. Sus responsables estn trabajando en un reemplazo de ambos: OWASP Proxy, pero todava no est listo.

. NET
El propsito de la OWASP. NET Project es proporcionar un repositorio central de informacin y herramientas de software para los profesionales que utilizan el Microsoft. NET Framework para aplicaciones y servicios web. El proyecto trata de incluir recursos de Microsoft y de la comunidad de cdigo abierto, la comunidad Alt.NET y otros recursos relacionados con la seguridad. Muchas de las vulnerabilidades que se aplican al software .NET estn en la seccin de vulnerabilidades en OWASP, la seccin contiene una tabla de referencia rpida para los proyectos de OWASP en los cuales se puede aplicar la seguridad.

MANTRA
Descripcin bsica: Mantra es una coleccin de herramientas de cdigo abierto integradas en un navegador. ste, muestra una pgina virtual desde donde el usuario puede acceder a su pgina web y se le mostrar todas las funcionalidades que le ofrece la aplicacin. Entre las herramientas que contiene se encuentran algunas como SQLite Manager, Firebug, etc. De este modo, los usuarios pueden comprobar la seguridad de su pgina web, as como los posibles fallos que alberga y que no haban sido detectados hasta el momento.

25

- OWASP
FUNCIONALIDAD Exploracin y explotacin de fallos en la web. Mediante el conjunto de plugins y herramientas incluidas es posible explorar la pgina web con la finalidad de detectar y resolver los errores que puedan encontrarse. Entre otras funcionalidades, el usuario puede asegurarse de que el cdigo html y los estilos CSS sean correctos, as como de validar que todos los enlaces contenidos en su pgina web siguen activos. Reconocimiento, enumeracin y deteccin de accesos y ataques en la web. Las herramientas incorporadas en la aplicacin permiten al usuario detectar ataques externos en la pgina web, controlarlos y evitar que vuelvan a producirse mediante mejoras en los controles de acceso. Encriptacin y desencriptacin de informacin. La funcionalidad de encriptacin ofrece al usuario la posibilidad de realizar procedimientos de encriptacin en los contenidos de una pgina web mediante la utilizacin de funciones hash para evitar que la informacin sea accedida, modificada o borrada por terceros no autorizados. Gestin de las bases de datos del sitio web. La aplicacin permite la creacin y gestin de la base de datos del sitio web sin la necesidad de tener conocimientos muy extensos sobre lenguaje de base de datos SQL. Esta posibilidad se da gracias a que el gestor muestra una paleta de opciones en una barra superior que permite al usuario ir rellenando los comandos con estructuras como nombres de las tablas o valores a insertar/borrar en ellas.

26

- OWASP
APLICACIONES DE OWASP COMO UNA METODOLOGA:
OWASP puede aplicarse a cualquier persona u organizacin con el deseo de mejorar la seguridad en sus aplicaciones. En este caso se habla que todas las personas pueden tomar las guas, los manuales, los estndares publicados en la pgina oficial de OWASP y adaptarlos e implementarlos en su organizacin.

VENTAJAS:
1. 2. 3. 4. Es una comunidad libre y todos los recursos se pueden obtener de manera gratuita. Flexible. Fomenta el trabajo en equipo. Cualquier persona con deseo de incrementar la seguridad de sus aplicaciones puede implementar esta metodologa.

DESVENTAJAS:
1. Requiere desarrolladores altamente competentes 2. Precisa de bastantes conocimientos, reflexin y competencia humana para ser efectiva. 3. Se hacen referencia a usos de herramientas externas, y por lo tanto no se garantiza el correcto funcionamiento de las mismas.

27

- OWASP
CONCLUSIN:

28

- OWASP
RECOMENDACIONES:

29

- OWASP
GLOSARIO:

30

- OWASP
Bibliografa

31

- OWASP
ANEXOS

32